La vie est mal configurée

Aller au contenu | Aller au menu | Aller à la recherche

mercredi, mai 31 2017

Sécurité informatique, soupir

Je reviens d’un petit colloque sur la sécurité informatique. Quelques réflexions.

Complexification

Les ordinateurs personnels d’il y a une trentaine d’années étaient simples. Une documentation technique très complète du système (instructions du processeur, registres des contrôleurs d’entrée sortie, appels systèmes…) pouvait être fournie en quelques volumes. En revanche, les ordinateurs actuels (qu’il s’agisse de machines de bureau, de portables ou de smartphones) sont très complexes. La documentation de l’architecture x86 prend plusieurs milliers de pages.

Il y a trente ans, un développeur (même novice) pouvait rapidement maîtriser une grande partie du fonctionnement de sa machine. De nos jours, c’est impossible : il y a trop de choses, qui changent qui plus est toutes les quelques années. Il y a vingt ans, je comprenais à peu près le fonctionnement d’un système Linux (mais pas le détail), de nos jours il y a bon nombre de zones mystérieuses.

Dans l’exposé d’Éric Freyssinet et les interventions de Jean-Yves Marion, on a bien senti la même évolution dans le développement des outils d’intrusion informatique. Le cliché des films est le « petit génie » de l’informatique opérant isolément : or les attaques sont complexes à mettre en œuvre et mettent souvent en jeu plusieurs groupes de personnes, chacun spécialisé sur une partie du problème.

Parallèlement, on assiste à une fuite en avant et une complexification des mesures de sécurité. Il y a longtemps, sur un système Unix, il existait les processus utilisateurs, les processus privilégiés (ceux de l’utilisateur root) et le noyau du système. Maintenant, on a éventuellement au dessus du noyau un hyperviseur, peut-être lui même virtualisé dans un autre hyperviseur… voire un composant matériel « sécurisé » indépendant du processeur principal.

Bien entendu le logiciel se complique aussi. Aux débuts du Web, le trafic passait « en clair » (http) sur le réseau, de sorte que toute personne qui avait accès aux équipements réseau pouvait espionner le trafic. Récupérer une page Web était relativement simple. Depuis on est largement passé à une transmission chiffrée (https), plus sûre mais aussi considérablement plus complexe pour le logiciel.

Plus un système est compliqué, plus il offre de possibilités d’erreur et de « surface d’attaque ».

Une pensée a posteriori

Comme on le voit bien sur l’exemple de http suivi de https, la sécurité est souvent rajouté a posteriori par-dessus une fonctionnalité. Ceci conduit à des systèmes complexes et parfois assez baroques.

Mais qui a pu avoir une idée pareille ?!

Au récit du fonctionnement technique de certaines attaques, on se demande comment quelqu’un a pu penser que c’était une bonne idée que de concevoir le système attaqué en y laissant une faille béante. Quelques exemples :

  1. L’Étoile de la Mort de l’Épisode IV de la Guerre des Étoiles a une bouche de refroidissement dans laquelle un simple tir par un appareil de combat léger provoque sa destruction totale.

  2. Un périphérique Firewire avait naguère le droit d’initier un transfert de ou vers la mémoire de la machine sur laquelle il était branché sans contrôle de ce à quoi il avait le droit d’accéder — on vous prêtait une caméra ou un disque dur, celle-ci pouvait donc prendre le contrôle de votre machine.

  3. Certaines machines à base de processeurs Intel avaient une console de commande système à laquelle on pouvait accéder en fournissant un mot de passe vide — apparemment, elle vérifiait que le mot de passe fourni par l’utilisateur était le bon en ne comparant que jusqu’à la longueur du mot de passe fourni par l’utilisateur…

  4. Quelqu’un avait cru bon de modifier le générateur de nombres aléatoires d’OpenSSL d’une façon qui réduisait considérablement son aléa et rendait des clefs de chiffrement trouvables par recherche exhaustive, car la modification supprimait un avertissement dans un outil de recherche de bugs.

On en est au point parfois où l’on se demande s’il s’agit d’incompétence ou d’erreurs sciemment mises en place à la demande de tel ou tel service.

Internet of Things

Les entreprises qui vendent des objets connectés ont pour objectif d’arriver rapidement sur le marché ; la sécurité représente un surcoût en temps et en argent. Ces entreprises peuvent avoir un cœur de métier traditionnel (électroménager…) éloigné des réseaux et de la sécurité. Elles ne sont pas forcément prêtes à fournir des mises à jour de sécurité en continu (à l’inverse de fournisseurs de systèmes d’exploitation tels que Microsoft, Apple, ou Ubuntu). Comme on peut s’y attendre, la sécurité est faible.

On a, dit-on, des bot-nets de réfrigérateurs et de caméras de surveillances connectées. On s’attend à des bot-nets de voitures connectées. On espère, mais peut-être est-ce un fol espoir, que dans ces véhicules la partie compromise ne sera que le système de divertissement et non ce qui contrôle la conduite. Et que dire des dispositifs médicaux connectés !

Des systèmes sécurisés inutilisables donc inutilisés

En théorie, il est possible de chiffrer son disque dur (de façon à rendre les informations qui s’y trouvent illisibles pour un voleur, par exemple), de chiffrer son courrier électronique (de façon à ce que les opérateurs de réseau et hébergeurs de courrier ne puissent pas le lire), d’utiliser une messagerie instantanée chiffrée.

En pratique, peu de gens le font : les logiciels qui font cela ne sont pas installés par défaut, ils demandent une configuration spécifique (voire l’intervention de prestataires extérieurs), parfois ne fonctionnent pas pour des raisons mystérieuses. Même parmi les chercheurs en informatique, a priori un public a priori plus sensibilisé et apte techniquement que la majorité de la population, on sent ces difficultés.

Conclusion

Je ne déborde pas d’optimisme.

vendredi, mars 10 2017

Guillaume Poupard à l'inauguration du Data Institute de Grenoble

J'étais cet après-midi au colloque d'inauguration du Data Institute de l'Université Grenoble Alpes, en présence de Mme Geneviève Fioraso, députée, et de mes collègues Lise Dumasy, présidente de l'Université Grenoble Alpes et de Patrick Lévy, président de la COMUE.

Guillaume Poupard, directeur général de l'Agence nationale pour la sécurité des systèmes d'information (ANSSI), a prononcé une allocution et répondu à des questions. Je vais ici tenter de donner un résumé de ses propos ; bien entendu, il est possible que je pèche par omission ou mauvaise compréhension. Guillaume Poupard a notamment tenu par moments à distinguer sa position personnelle de celle tenue à titre officiel par l'ANSSI, et je n'ai pas forcément noté toutes ses précautions oratoires. Toute erreur ou expression malheureuse devra donc être portée à mon compte.

« La sécurité informatique ne se limite pas à la technique. Souvent, d'ailleurs, la technique est connue mais ce qui pèche c'est sa mise en œuvre.

Il y a déjà eu en France de terribles intrusions dans des systèmes de traitement d'informations. Les conditions de sécurité sont souvent abominables. Parfois, les attaquants étaient rentrés dans les systèmes depuis des années avant d'être détectés… avec des conséquences dramatiques.

Encore ne s'agit-il là que de vols de données. Il y a pire : les attaques sur les systèmes critiques — industriels, bancaires, etc. Ceux qui sont capables de les attaquer avec succès attendent l'instant opportun où ils pourront créer des perturbations répondant à leurs buts.

En conséquence, la cybersécurité doit être une préoccupation de gouvernance au plus haut niveau et non pas seulement au niveau des experts en sécurité des systèmes d'information. Sur tous ces sujets, l'ANSSI travaille en bonne intelligence avec la CNIL (Commission nationale de l'informatique et des libertés).

Dans une approche traditionnelle de la sécurité, on considère la question de la sécurité des systèmes de traitement d'informations séparément de la question des traitements qu'ils opèrent et des données qu'ils entreposent : on sépare le contenant du contenu. Une telle approche n'est plus possible lorsque l'on considère le cloud, avec externalisation du traitement de données.

Dans quels cas est-il ou non raisonnable d'utiliser le cloud ? L'ANSSI a un processus de qualification de prestataires. Le recours au cloud peut d'ailleurs améliorer la sécurité, puisque les prestataires spécialisés ont des moyens techniques qui vont au-delà de ce que peuvent faire en la matière la plupart des petites et moyennes entreprises, où souvent les aspects informatiques sont gérés par des personnels dont ce n'est pas le métier dans le temps qu'il leur reste.

L'Internet des objets (IoT, Internet of Things) pose des problèmes nouveaux, notamment pour les objets connectés médicaux. Par exemple, comment appréhender la sécurité d'un pace-maker ? Pour des applications moins critiques, la sécurité est hélas souvent une préoccupation très secondaire des fabricants, qui voient en elle des coûts et des délais supplémentaires — l'objectif est le time-to-market, la présentation à Las Vegas au consumer electronics show.

Les géants du Web, les GAFA (Google Apple Facebook Amazon) échappent de plus en plus aux états — on le voit déjà fiscalement. On parle beaucoup du Big Data, buzzword actuel qui désigne ce que l'on appelait naguère fouille de données ou data mining — et aussi de deep learning, approche actuellement à la mode pour mener à bien le vieux programme de l'intelligence artificielle. Que penser d'un monde où 3 ou 4 « intelligences artificielles » collecteraient les données de toute la planète ?

Des compagnies d'assurance peuvent vouloir proposer des polices moins chères aux personnes en bonne santé qu'à celles en mauvaise santé. On s'émeut de la confidentialité d'informations relatives à des problèmes de santé, mais qui songe à dissimuler sa bonne santé… qui peut s'inférer par recoupement de diverses données.

Le règlement européen sur la protection des données est une avancée. La notion de donnée personnelle n'a longtemps pas été claire ; mais maintenant les juristes considèrent que l'adresse IP en est une. Cela n'est pas sans poser des problèmes pour l'analyse forensique de sécurité : celle-ci s'appuie sur des journaux de connexions comprenant de telles adresses… Et pour des raisons de sécurité on peut vouloir conserver de telles informations 10 ans après une attaque !

Le statut de la donnée est chose complexe. Des données sensibles peuvent, après anonymisation et autres traitements, être utilisées pour produire des données publiques. Par exemple, pour la production de prévisions météorologiques publiques on utilise des données confidentielles défense de certains senseurs.

Dans certains traités commerciaux internationaux en cours de négociation (TAFTA etc.), on évoque la libre transmission des données (free flow of data). Les législations ou réglementations nationales interdisant ou restreignant la transmission de certaines données vers d'autres pays seraient alors considérées comme faussant la concurrence. À ce sujet, il ne faut pas confondre, comme on le fait parfois, la libre transmission des informations, une forme de liberté de parole, avec la libre transmission des données. Le 6 et 7 avril prochain on discutera de ces sujet à l'UNESCO.

On parle parfois de cyberguerre. Dans la guerre à l'ancienne, on se battait pour des territoires. Même si de tels conflits subsistent, on se bat de nos jours plutôt pour des ressources naturelles. Demain, se battra-t-on pour des données ? Le Manuel de Talinn est un guide rédigé par un groupe d’experts mandatés par l’OTAN, qui propose une transposition du droit international aux cyberconflits.

Il ne faut pas opposer sécurité et Open Data, l'accès ouvert aux données notamment publiques. Le réflexe pourrait être de tout garder secret ; il vaut mieux procéder à une analyse de risque. Sur ces sujets, l'ANSSI discute beaucoup avec Henri Verdier, administrateur général des données de l'État.

Sur tous ces sujets, l'ANSSI travaille. La moitié des travaux de ses chercheurs sont publics, l'autre moitié confidentielle. Elle collabore actuellement avec le monde universitaire et de la recherche surtout dans les domaines techniques ; il s'agit d'étendre ces collaborations à d'autres domaines.

Abordons maintenant la question des données relatives aux attaques informatiques. Bien entendu, ces données sont précieuses pour les chercheurs et les développeurs de moyens de sécurisation et il est souhaitable qu'elles soient disponibles. On ne peut pourtant pas aveuglément disséminer les informations relatives aux entreprises attaquées. Il ne faut pas perdre de vue qu'il s'agit là de victimes, qui attendent que leurs problèmes soient traités confidentiellement afin de ne pas souffrir de la publicité négative. Une solution est d'extraire et de diffuser des marqueurs et signatures des attaques ; mais ceci demande un travail important.

[Note personnelle : il existe le même problème en matière de vérification automatique de sûreté de fonctionnement des logiciels. Les industriels attendent des solutions qui fonctionnent bien sur leurs cas d'espèce, mais refusent de communiquer ceux-ci aux chercheurs, qui ne peuvent donc pas adapter leurs méthodes et leurs outils en fonction. In fine, tout le monde est mécontent : les industriels trouvent que les outils sont inadaptés à leurs besoins, les chercheurs prennent des exemples artificiels.]

On évoque les pratiques des services douaniers de certains pays (États-Unis), qui ordonnent aux voyageurs de donner accès à leur ordinateur ou téléphone, de communiquer des mots de passe, etc., sous peine d'être renvoyés par le prochain vol. Une suggestion, à titre personnel, serait d'appliquer les mêmes méthodes par réciprocité aux voyageurs de ces pays entrant en France et en Europe. On a vu par le passé l'efficacité de cette mesure, par exemple quand le Brésil a imposé la prise des empreintes d'identité des voyageurs américains.

La situation de l'ANSSI comme service du premier ministre (et non comme autorité indépendante comme la CNIL) est adaptée. En cas de crise majeure, il faut être en mesure de prévenir rapidement président et premier ministre.

D'autres pays ont fait le choix de regrouper au sein du même service les activités d'espionnage et celles de protection contre les intrusions (les États-Unis au sein de la NSA, le Royaume-Uni au sein du GCHQ). Ce n'est pas le choix de la France ; il s'agit de deux métiers distincts, même si des contacts peuvent et doivent exister. L'ANSSI est donc parfois informée d'intrusions par des services secrets étrangers.

La suppression de la possibilité de voter par voie électronique aux élections législatives pour les Français de l'étranger a suscité la polémique. Malheureusement, malgré des travaux de sécurisation y compris ces derniers mois, la plate-forme utilisée n'était pas robuste et au niveau des menaces.

En matière de vote électronique, il existe des études théoriques très avancées. Le problème là encore est plus dans la mise en œuvre.

Il faut également rappeler l'actualité de ces derniers mois. Le comité national du Parti démocratique américain (DNC) a fait l'objet d'une attaque informatique qui a donné lieu à des divulgations d'informations — il y a d'ailleurs certaines similarités avec l'attaque sur TV5 Monde. Cela a-t-il déstabilisé le processus démocratique au point d'en changer le résultat ? Nous ne le saurons jamais.

À ce sujet, notons qu'en cas de révélations massives de courriers électroniques et autres données, il est aisé de rajouter au milieu d'informations véritables des fausses informations. Des campagnes de désinformation peuvent ainsi être menées.

Outre ces aspects, les élections posent bien sûr des problèmes classiques de sécurité informatique en ce qui concerne les systèmes de collation des résultats. »

Mme Fioraso a demandé ce que l'on entend par « darknet » et s'il est possible pour une agence comme l'ANSSI d'y recruter des experts.

« Le Dark Net est une expression de journaliste. Il s'agit, en bref, de services Internet non indexés par les moteurs de recherche et mis en place par des gens qui veulent y traiter à l'abri des autorités. On y propose un grand nombre de produits et de services illicites. Le Dark Net donne lieu à bon nombre de fantasmes, mais il ne s'agit pas que de cela.

L'ANSSI recrute des hackers au sens originel du terme, c'est-à-dire des personnes qui aiment la technique, des « bidouilleurs » mais sans connotation péjorative. Elle ne recrute pas de pirates. Ses personnels sont habilités au confidentiel défense, elle ne peut se permettre de recruter des individus peu fiables ou délinquants.

On nous demande si des terroristes pourraient mener des cyberattaques.

Il existe actuellement des groupes mafieux aux bénéfices importants — on parle de milliards — tirés d'attaques informatiques, par exemple du blocage et chiffrement des données dans des ordinateurs avec exigence de rançon pour leur déchiffrement.

Ces groupes mafieux, opérant pour leur profit, peuvent fort bien vendre leurs services à des pays ou groupes hostiles qui n'auraient pas sinon les compétences et capacités de mener eux-mêmes des attaques. Il n'y a d'ailleurs même pas besoin que commanditaires et commandités se rencontrent physiquement. Il y a déjà eu des attaques inhabituelles qui pourraient relever de ce genre d'arrangements.

À plus petite échelle, on trouve sur le Dark Net des prestataires d'attaques à la demande. On peut ainsi acheter une certaine durée d'attaque en déni de service, par exemple contre une entreprise concurrente. »

[Note : Une attaque en déni de service est une attaque informatique saturant un système informatique pour l'empêcher de rendre le service attendu. Par exemple, on pourra saturer un site Web de requêtes afin de le rendre inaccessible aux utilisateurs.]

Une question sur la transparence des fonds publics a été comprise par Mme Fioraso comme une question sur la transparence des frais des élus. Elle a indiqué être en faveur du remplacement de l'indemnité représentative de frais de mandats (IRFM) par un remboursement sur note de frais, comme cela se fait dans les entreprises ou administrations. D'après elle, la mise en place de la Haute autorité pour la transparence de la vie publique (HATVP) a mis un terme aux abus les plus criants. Initialement, les données en étaient publiques sans démarche d'accès, mais cela posait des problèmes de vie privée : par exemple des notaires et avocats s'en servaient dans des procédures de divorce ou d'héritage.

Mme Fioraso a également relevé le danger qu'il y a à ce que des universitaires se posent en opposition aux « élites », car l'opposition aux « élites », le poujadisme, les touche également.

vendredi, avril 17 2015

Je suis suspect ainsi que mes collègues

Lors des discussions autour du projet de loi sur le renseignement, certains ont présenté comme suspect le fait pour un internaute de masquer son adresse IP, c'est-à-dire son adresse de connexion sur Internet. Si c'est le cas, alors je suis vraiment très suspect !

A priori, le « masquage de l'adresse » peut paraître une activité mystérieuse, inquiétante, et on ne voit pas très bien pourquoi quelqu'un pourrait vouloir « masquer » son adresse si ce n'est pour dissimuler des activités illicites ? En réalité, quotidiennement, quantité de gens « masquent » leur adresse de connexion Internet pour des raisons très recommandables, notamment professionnelles.

Lire la suite...

mardi, août 5 2014

Reconnaissance de fichiers par GMail

Il semble que Google reconnaît des fichiers pédopornographiques dans des courriels à l'aide d'un hachage (autrement dit, il reconnaît des fichiers déjà répertoriés comme « sensibles »). Nous ignorons s'il s'agit de hachage exact (le fichier doit être exactement le même à l'octet près) ou d'un hachage flou (la même image est reconnue même s'il y a décompression, recompression voire recadrage etc.).

Ceci nous apprend (mais nous devions nous en douter) que Google hache tous les fichiers attachés et les compare à une bases de données : visiblement, des images pédophiles, des virus... et pourquoi pas des images, des textes ou des vidéos politiquement sensibles ?

mardi, juillet 29 2014

Lutte contre les dangers d'Internet : voulons-nous vraiment l'efficacité à tout prix ?

L'Assemblée nationale examinait récemment la possibilité d'interdire l'accès à certains sites Web par simple décision administrative (article 9 du projet de loi n⁰2110). On justifiait pareille procédure, exorbitante par rapport au droit de la presse, où il faut l'intervention du juge judiciaire pour interdire une publication, par son efficacité et sa rapidité : il suffirait qu'un service de police spécialisé accuse un site de promotion du terrorisme pour que l'accès à celui-ci soit bloqué.

Lire la suite...

lundi, novembre 11 2013

Alain F. se met à Internet

En 2001, mon éminent camarade (et retraité collègue) Alain Finkielkraut publiait avec Paul Soriano un essai intitulé Internet, l'inquiétante extase. Il me semble me rappeler qu'il expliquait doctement qu'Internet n'avait aucun intérêt pour les étudiants, sauf peut-être en troisième cycle.

En 2013, il se demande s'il faudrait qu'il se mette à internet, au risque d'abuser de la sollicitude de ceux qui, actuellement, cherchent sur ce médium les informations et les documents qui lui sont nécessaires.

Peut-être devrais-je écrire un essai sur les peuples de la Bolivie et du Pérou. J'y suis allé en vacances une fois ; cela devrait suffire.

PS Comme souvent, Xkcd a tout dit sur le sujet.

mardi, novembre 5 2013

La chasse à courre des pédocriminels

Valérie, du blog Crêpe Georgette, a pour profession la modération de forums Web, avec douze ans d'expérience (je ne pense pas que je pourrais faire cela sans devenir misanthrope et agressif). Elle signale l'évolution récente suivante : des (post-)adolescents postent de la pédopornographie afin de choquer (bien entendu, avec pareils contenus, on provoque à coup sûr des réactions indignées, des dénonciations aux autorités, des menaces de lynchage, etc.).

Lire la suite...

samedi, août 3 2013

STARTTLS

Petite enquête : quels FAI (ou entreprises) ont ils des MX supportant STARTTLS ?

Pour le moment (remercions notre fidèle lectrice Natacha) :

  • Free : non
  • SFR / Club Internet : non
  • Orange : non
  • IMAG (laboratoires de recherche en infomatique et mathématiques appliquées du CNRS et des universités grenobloises) : oui
  • GMail : oui

PS Ce que j'en retire, pour le moment, c'est qu'une bonne partie, et probablement la quasi totalité du courrier électronique grand public français circule soit en clair, soit via Google.

vendredi, juin 14 2013

Google is not evil

En janvier 2011 j'écrivais un billet où je mettais en garde contre l'usage de services (courrier électronique, agendas...) de Google au motif que celle-ci pourrait fort bien espionner ses utilisateurs, y compris à des fins d'espionnage industriel pour le profit des États-Unis (*).

Lire la suite...

jeudi, juin 13 2013

Sécurité flashy

Lu chez 20 Minutes :

«Le côté graphique est souvent négligé car les hackers produisent ces mails à la va-vite, explique Fabrice Champion, chef des services France et Maghreb pour la société Kaspersky, spécialisée dans la protection des données informatiques. On remarque d’ailleurs qu’il n’y a quasiment jamais d’animations en flash dans ces mails alors qu’on en trouve régulièrement dans ceux qui proviennent de sites officiels.»

Mon dieu... qualifier Flash d'indice positif de sécurité accrue !

Le lecteur Adobe Flash a, au cours du temps, été la cible de nombreuses attaques... je me rappelle notamment d'une époque où il y avait sans cesse des mises à jour de sécurité. En 2011, lorsque j'étais de visite chez Microsoft Research à Redmond, mes collègues m'expliquèrent que, Microsoft ayant fait de grands efforts de sécurisation (fuzzing intelligent des lecteurs de fichiers et de protocoles Web, etc.), les pirates visaient dorénavant notamment les produits Adobe (PDF et Flash). Sur certaines plate-formes, Flash n'est pas installé, pour des raisons de sécurité notamment. Dernièrement, j'ai encore eu à expertiser un article scientifique illustrant des méthodes d'instrumentation de code par l'exemple de la sécurisation d'ActionScript, le langage de script de Flash...

Tout cela n'est pas sérieux. J'aurais pour ma part beaucoup plus confiance en ma banque, mon assureur etc. s'ils n'utilisaient pas de Flash, pas de JavaScript compliqué, etc. De tels sites n'ont, en effet, pas à recourir à des effets graphiques sophistiqués pour me présenter les informations dont ils traitent !

(Une petite remarque de ma part : une recommandation de bon sens est de ne jamais répondre à un courriel qui renvoie sur un site qui n'est pas le site officiel de l'entreprise concernée. Or, certaines entreprises utilisent des services de prestataires externes pour, par exemple, des sondages de contentement ; les courriels appelant à répondre renvoient sur les sites de ces prestataires... Il me semble que cela est contre-productif, car cela donne l'habitude aux clients de répondre à des tiers.

Par ailleurs, de nombreuses entreprises ne proposent pas l'intégralité de leur site en HTTPS, réservant le chiffrement SSL à la partie traitant d'informations client confidentielles. Il me semble cependant qu'il est souhaitable que des tiers ne puissent pas altérer, pendant leur transmission, le contenu des pages d'information générales d'un site tel que celui d'un compagnie d'assurance ou d'une banque... On peut ainsi très bien imaginer une page non sécurisée modifiée fournissant un lien vers un faux site sécurisé. Certes, cela nécessite une attaque avec interception de communication et remplacement de données (man-in-the-middle), et non simplement espionnage de la communication en cours, mais cela me paraît jouable par exemple sur une infrastructure wifi.)

lundi, avril 15 2013

Téléphonie

Si vous voulez téléphoner via Internet, qu'utilisez-vous ? Probablement Skype. Mais Skype est un logiciel fermé, qui fait passer les conversations on ne sait où sur Internet, et dont l'utilisation est pour ces raisons fortement déconseillée dans les laboratoires du CNRS (voire interdit dans ceux qui sont trop « sensibles »).

Les solutions alternatives conseillées pour les chercheurs CNRS sont :

  • SeeVogh, précédemment connu sous le nom d'EVO. C'est séduisant mais ça ne fonctionne pas sur ma machine de bureau, la vidéo ne fonctionne pas chez une collègue, ça plante etc.
  • La passerelle H323 RMS (ou PontNeuf pour l'INRIA). Problème : il semble que le protocole H323 soit bloqué par les pare-feux de notre campus (bref, le CNRS bloquerait le CNRS).

Voici pourquoi les gens utilisent Skype : parce que ça fonctionne.

mardi, décembre 4 2012

YouCute

Il existe, en plus des sites généralistes d'hébergement de vidéos, des sites spécialisés sur tel ou tel sujet (singulièrement, le sexe).

Une proposition parfaitement family-friendly : un site spécialisé dans les images cute, avec des catégories « chatons », « loutres », etc., avec éventuellement un système pour mettre des musiques adaptées, et des play-list semi-automatiques (« je suis stressé alors envoie-moi des images de petits chiens qui gambadent avec les Chariots de Feu en fond sonore »).

On appelerait cela YouCute.

samedi, octobre 20 2012

Filtrons, filtrons, il en restera quelque chose

Le site LeMonde.fr a interrogé divers avocats et juristes au sujet de l'affaire #UnBonJuif (pour ceux qui n'auraient pas suivi : des inconnus ont diffusé sur le système de diffusion de messages Twitter des plaisanteries antisémites en les étiquetant par l'expression « Un bon juif »).

La plus grande partie de l'article est sans surprise pour ceux qui connaissent un peu de droit relatif à Internet : loi de 1881 (amendée, bien sûr) sur la presse, loi sur la confiance dans l'économie numérique, difficulté à contraindre une entreprise américaine sans activité en France à se conformer au droit français, surtout si les tribunaux américains refusent l'application aux États-Unis de décisions de justice rendues en France.

On trouve des choses plus notables :

Une autre solution plus radicale pourrait être alors, pour la justice française, d'exiger aux fournisseurs d'accès français un filtrage de "toutes les pages qui contiennent le mot-clé #UnBonJuif sur le territoire français", estime Alain Bensoussan. "Les tribunaux ont déjà demandé à des FAI de mettre en œuvre un blocage par nom de domaine (DNS), pour empêcher leurs abonnés d'accéder à partir du territoire français à des sites illicites (sites de jeux d'argent et de hasard en ligne non agréés par l'ARJEL, sites pédopornographiques, site négationniste)", rappelle Virginie Bensoussan-Brulé, qui cite comme exemples les affaires AAARGH et Copwatch.

C'est à ce moment que l'on regrette qu'en sus d'avocats et autres juristes, LeMonde.fr n'ait pas pensé à contacter des informaticiens afin de s'enquérir de la faisabilité technique de pareilles suggestions ou sur la pertinence de la comparaison entre un filtrage de mots-clés dans les pages Web et un filtrage de sites spécifiques dans le DNS. (Si mon lectorat a besoin d'explications complémentaires, je serai heureux de les fournir, selon mes disponibilités.)

Par ailleurs, on lit :

Par ailleurs, "le cadre sera différent de celui qui concerne les humoristes ou les journalistes, dont les spécificités du métier ont établi des jurisprudences de nature à les protéger (voir le jugement rendu sur Les Guignols de l'info en 1999). Or ici, il ne s'agissait pas d'humoristes ou de journalistes", continue Virginie Bensoussan-Brulé.

Je ne savais pas que le jurisprudence française reconnaissait une sorte de privilège aux humoristes professionnels par rapport aux simples citoyens.

lundi, septembre 17 2012

Au sujet de Google et de la presse

Dans les débats au sujet de Google et de la presse en ligne, les seconds accusant le premier de les exploiter et réclamant l'instauration d'un « droit voisin » leur permettant de facturer Google pour leurs contenus, un petit rappel :

La presse en ligne peut très simplement et rapidement demander sa déindexation de Google. L'indexation par Google est totalement optionnelle.

Je ne rentrerai pas dans les détails, mais n'importe quel webmestre peut éviter que ses contenus ne soient indexés par Google en utilisant un moyen technique approprié et simple à mettre en place (fichier robots.txt, champs META...).

Si la presse ne recourt pas à ces moyens, c'est qu'elle veut être indexée par Google. Elle veut non seulement bénéficier gratuitement du service d'indexation, qui lui ramènera des lecteurs (donc des recettes publicitaires) et qui coûte de l'argent à Google, mais aussi réclamer de l'argent à Google pour cela.

Lorsque certains expliquent que Google ne produit rien (sous-entendu : on se demande bien pourquoi ils touchent de l'argent), c'est bien entendu vrai, mais il en est de même des fabricants de rotatives, d'encre, de papier, aux services de transport et de messagerie, aux distributeurs et aux points de ventes dont les coûts constituent, si je ne m'abuse, la majorité du prix d'un journal papier. Ces divers prestataires ont des coûts, ceux-ci sont répercutés ; Google a également des coûts (il faut payer l'infrastructure informatique, les chercheurs, ingénieurs et techniciens qui la conçoivent et la mettent en place...).

Un autre point important : à ma connaissance, Google n'a aucune obligation d'indexer un site et pourrait très bien décider d'ôter de ses index les médias qui lui réclameraient des droits.

Ceci pour les rappels factuels. Bien entendu, on peut discuter du partage des gains entre Google et la presse, notamment si c'est Google qui touche la majorité des recettes ; il paraît en revanche abusif de prétendre que la presse ne peut empêcher le pillage qu'elle dénonce.

jeudi, mai 10 2012

Téléchargement automatique

Certains s'émeuvent qu'un juge de l'état de New-York considère que la simple visualisation, sans impression ni sauvegarde, d'images pédopornographiques ne soit pas un délit en l'état actuel de la loi. N'étant pas juriste et encore moins connaisseur de la loi de l'état de New-York, je contenterai de la question suivante, qui me semble de première importance.

En l'espèce, l'accusation était basée sur la présence d'images pédopornographiques dans le cache du navigateur du prévenu. Je ne suis pas un expert en navigateurs, mais il me semble techniquement possible de réaliser une page Web à l'allure tout à fait innocente, mais qui fait télécharger par le navigateur des images pédopornographiques sans que celles-ci ne soient affichées (par exemple par du Javascript, ou encore à l'aide d'affichages en 1×1 pixels). Il semble donc techniquement possible de faire une très mauvaise farce à un utilisateur : lui envoyer une page qui fera que son navigateur va ramener des images illicites (au besoin, ces images seront hébergées sur un serveur temporaire et accessible uniquement depuis le navigateur de la personne visée), puis rapporter son adresse IP aux autorités...

Mes lecteurs corrigeront au besoin mes doutes techniques.

mardi, février 14 2012

Pony express

Je veux un PONEY et une extension BibTeX pour Mediawiki qui fonctionne.

vendredi, février 3 2012

WiFi Grand Voyageur Gare de Lyon, suite

J'ai fini par pouvoir me connecter.

Impossible de me connecter au VPN de l'Université Joseph Fourier, ni de faire un SSH vers mon laboratoire. Il est cependant possible de se connecter par SSH sur une machine qui fait spécialement tourner un sshd sur le port 443.

Commentaire : c'est très, très bête de la part de la SNCF.

Leur réseau WiFi est non chiffré, autrement dit les mots-clefs pour les sites HTTP (par opposition à HTTPS) ou les accès aux emails IMAP (par opposition à IMAPS) sont envoyés en clair et espionnable depuis n'importe quelle autre machine présente dans le salon. Autrement dit, là, je pourrais sans doute récupérer les mots de passe email, Twitter, etc. etc. de nombreux autres clients.

Non seulement leur réseau est non chiffré, mais ils empêchent d'utiliser les moyens de sécurisation usuels (VPN ou SSH).

lundi, janvier 30 2012

France et Royaume-Uni, des divergences dans la lutte contre la pédopornographie ?

J'apprends, par Marc Rees, que le service de signalement de contenus pédopornographiques mis en place par l'Association des fournisseurs d'accès et de services internet (AFA) a réceptionné l'an dernier 2823 signalements d'internautes, dont elle a qualifié 477 ; parmi ceux-ci, 86 étaient hébergés en France et ont été retirés, et 134 hébergés en Europe, dont 121 ont été retirés (j'ignore s'il faut entendre Europe au sens Union européenne, Conseil de l'Europe ou autre).

Lire la suite...

vendredi, janvier 27 2012

Le WiFi du salon Grand Voyageur de la Gare de Lyon

Je n'arrive pas à me connecter sous Linux au WiFi du Salon Grand Voyageur de la Gare de Lyon : le DHCP échoue. En revanche, cela fonctionne sous Windows. Une idée ?

(Je me connecte sans problème à Eduroam ou d'autres réseaux.)

mercredi, janvier 25 2012

Faire des pages Web ?

Nous devons faire le site Web d'un excitant projet de recherche (et, accessoirement, « on » me dit que je devrais refaire mes pages Web professionnelles, qui font trop 1997).

Qu'utilisez-vous pour faire des sites Web ? Je vois comme solutions :

  • Un CMS — mais sachant que nous aurons également un wiki, ça fait un peu lourd.
  • Taper du HTML/CSS à la main, mais c'est fastidieux.
  • La même chose avec du XSL(T) pour faire le look ?
  • Utiliser un éditeur style BlueGriffon ou similaire.

Des avis ?

- page 1 de 3